OpenVPN Serverkonfiguration Instance (new)

[RES217AIII]

Hallo Forum,
ich brauche Unterstützung bei der Konfigruation eines OpenVPN Servers.
Während bis 23.1.11 und der alten Konfiguration alles promblemlos und erfreulich stabil lief, gelingt es mir nicht einen VPN Server in den neuen Instanzen zum Laufen zu bringen.
Vielmehr sind nach dem Upgrade auf 23.7.1 auch die alten Server nicht mehr zu erreichen.
Perspektivisch möchte ich alle VPN Server in die neuen Instatanzen übernehmen und die alten Server abschalten.

Hat einer der erfahrenen Nutzer die Zeit und Lust einem unerfahrenen aber lernfreudigen, begeisterten OPNsense- Nutzer zu zeigen welche Einstellungen notwendig sind im Sinnen einer Konfigurationsanleitung?
Was muss ich, wenn überhaupt, bei Bind eintragen, wenn ich dynDNS nutze, etc.?

Freu mich auf Hilfe.
Gruß Bernd

[maclinuxfree]

Gute Frage. Ich bleibe bis zur Antwort auf Legacy OpenVPN :)

[RES217AIII]

Kann mir jemand helfen?
Was kann ich tun?
Ich frage auch noch mal im englischen Forum.

Vielen Dank

[RES217AIII]

Kann niemand mit meiner Anfrage etwas anfangen?

Das Forum beobachte ich täglich und habe mehrfach, tausendfach, das Forum durchsucht, um eine Lösung meines Problems zu finden.
Trage ich die nicht statische und vorübergehende IP in den Punkt "Bind" ein, erhalte ich eine Verbindung.
Nun habe ich aber keine statische IP.

Meint der Hinweis in der OPNsense Dokumentation (https://docs.opnsense.org/manual/how-tos/sslvpn_instance_roadwarrior.html) "Leave empty to bind to all addresses assigned to this machine or use a loopback address combined with a port forward when the external address is not static." etwa ich muss nach z.B. diesem Tutorial (https://forum.opnsense.org/index.php?topic=34925.0) vorgehen, um den Wegfall der zu beobachtenden Schnittstelle in der "alten" OpenVPN Server Konfiguration zu kompensieren?

Es werden doch nicht alle OPNsense Nutzer, die ein VPN mit OpenVPN einrichten möchten, eine feste IP Adressen haben?
Ich bin ziemlich sicher, dass es eine einfache Anleitung und Lösung gibt, die ich nicht kenne.
OPNsense hat mich in den vergangenen 2 Jahren gelehrt, dass ich das Problem bin und nicht die Firewall.
Was braucht ihr, damit ihr mir antworten und helfen könnt?

[micneu]

moin, dann habe ich mal mitleid mit dir.
was genau willst du für ein OpenVPN Server bauen S2S oder Road warrior.
keine ahnung was genau dein Problem ist, ich habe es schon öfter aufgesetzt (nur mit der Aktuellen Version noch nicht)

[RES217AIII]

Vielen Dank.
Mein Problem ist, dass auch ich mit der alten Version mehrere Road Warriors aufgesetzt habe, die alle problemlos laufen.
Versuche ich die Server auf die neue Instanz zu übertragen oder einen neuen Server einzurichten, so sind mir alle Punkte klar bis auf der Punkt "Bind adress" (siehe Bild oben), also die Stelle wo ich dem Server bekannt gebe, über welche IP die Verbindung erfolgen soll.
Wenn ich also keine statische IP habe, was trage ich dort ein, wenn meine öffentliche IP eine dynDNS Verbindung ist?
Das Feld "Bind adress" leer zu lassen, scheint keine Option zu sein, da ich auf diesem Weg keine Verbindung herstellen kann.

[RES217AIII]

Ich bin jetzt soweit. IP ist bekannt.
Fehler TLS Handshake (siehe Log).
Wo ist mein Fehler?



*Tunnelblick: macOS 12.6.8 (21G725); Tunnelblick 3.8.8c (build 5778); prior version 3.8.7a (build 5770); Admin user
git commit bb7cbce1d218b32d170ae42abd4a70e17d935ccd + uncommitted changes:
?? ../third_party/sources/IOUserEthernetController.h
The Tunnelblick.app process is not being translated (x86_64)
System Integrity Protection is enabled
Model: MacBookPro13,2

Configuration Test

"Sanitized" condensed configuration file for /Users/bernhardunkel/Library/Application Support/Tunnelblick/Configurations/Test.tblk:


Tunnelblick Log:

2023-08-23 08:41:27.726901 *Tunnelblick: macOS 12.6.8 (21G725); Tunnelblick 3.8.8c (build 5778); prior version 3.8.7a (build 5770)
2023-08-23 08:41:28.036976 *Tunnelblick: Attempting connection with Test using shadow copy; Set nameserver = 769; monitoring connection
2023-08-23 08:41:28.037902 *Tunnelblick: openvpnstart start Test.tblk 60493 769 0 1 0 34652464 -ptADGNWradsgnw 2.5.9-openssl-1.1.1v <password>
2023-08-23 08:41:28.055050 *Tunnelblick: openvpnstart starting OpenVPN
2023-08-23 08:41:28.521311 --cipher is not set. Previous OpenVPN version defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.
2023-08-23 08:41:28.521634 OpenVPN 2.5.9 x86_64-apple-darwin [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [MH/RECVDA] [AEAD] built on Aug  1 2023
2023-08-23 08:41:28.521658 library versions: OpenSSL 1.1.1v  1 Aug 2023, LZO 2.10
2023-08-23 08:41:28.522988 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:60493
2023-08-23 08:41:28.523042 Need hold release from management interface, waiting...
2023-08-23 08:41:28.663088 *Tunnelblick: openvpnstart log:
     OpenVPN started successfully.
     Command used to start OpenVPN (one argument per displayed line):
          /Applications/Tunnelblick.app/Contents/Resources/openvpn/openvpn-2.5.9-openssl-1.1.1v/openvpn
          --daemon
          --log /Library/Application Support/Tunnelblick/Logs/-SUsers-Sbernhardunkel-SLibrary-SApplication Support-STunnelblick-SConfigurations-STest.tblk-SContents-SResources-Sconfig.ovpn.769_0_1_0_34652464.60493.openvpn.log
          --cd /Library/Application Support/Tunnelblick/Users/bernhardunkel/Test.tblk/Contents/Resources
          --machine-readable-output
          --setenv IV_GUI_VER "net.tunnelblick.tunnelblick 5778 3.8.8c (build 5778)"
          --verb 3
          --config /Library/Application Support/Tunnelblick/Users/bernhardunkel/Test.tblk/Contents/Resources/config.ovpn
          --setenv TUNNELBLICK_CONFIG_FOLDER /Library/Application Support/Tunnelblick/Users/bernhardunkel/Test.tblk/Contents/Resources
          --verb 3
          --cd /Library/Application Support/Tunnelblick/Users/bernhardunkel/Test.tblk/Contents/Resources
          --management 127.0.0.1 60493 /Library/Application Support/Tunnelblick/Mips/Test.tblk.mip
          --management-query-passwords
          --management-hold
          --script-security 2
          --route-up /Applications/Tunnelblick.app/Contents/Resources/client.up.tunnelblick.sh -9 -d -f -m -w -ptADGNWradsgnw
          --down /Applications/Tunnelblick.app/Contents/Resources/client.down.tunnelblick.sh -9 -d -f -m -w -ptADGNWradsgnw
2023-08-23 08:41:28.674017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:60493
2023-08-23 08:41:28.724428 MANAGEMENT: CMD 'pid'
2023-08-23 08:41:28.724507 MANAGEMENT: CMD 'auth-retry interact'
2023-08-23 08:41:28.724564 MANAGEMENT: CMD 'state on'
2023-08-23 08:41:28.724619 MANAGEMENT: CMD 'state'
2023-08-23 08:41:28.724754 MANAGEMENT: CMD 'bytecount 1'
2023-08-23 08:41:28.725303 *Tunnelblick: Established communication with OpenVPN
2023-08-23 08:41:28.726811 *Tunnelblick: >INFO:OpenVPN Management Interface Version 3 -- type 'help' for more info
2023-08-23 08:41:28.728391 MANAGEMENT: CMD 'hold release'
2023-08-23 08:41:51.587205 MANAGEMENT: CMD 'username "Auth" "Test.VPN"'
2023-08-23 08:41:51.589215 MANAGEMENT: CMD 'password [...]'
2023-08-23 08:41:51.589468 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-08-23 08:41:51.591887 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2023-08-23 08:41:51.591939 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2023-08-23 08:41:51.592950 MANAGEMENT: >STATE:1692772911,RESOLVE,,,,,,
2023-08-23 08:41:51.645387 TCP/UDP: Preserving recently used remote address: [AF_INET]93.211.XXX.XX:1199
2023-08-23 08:41:51.645469 Socket Buffers: R=[786896->786896] S=[9216->9216]
2023-08-23 08:41:51.645504 UDP link local (bound): [AF_INET][undef]:0
2023-08-23 08:41:51.645520 UDP link remote: [AF_INET]93.211.XXX.XX:1199
2023-08-23 08:41:51.645553 MANAGEMENT: >STATE:1692772911,WAIT,,,,,,
2023-08-23 08:42:51.609725 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
2023-08-23 08:42:51.609838 TLS Error: TLS handshake failed
2023-08-23 08:42:51.610266 SIGUSR1[soft,tls-error] received, process restarting
2023-08-23 08:42:51.610392 MANAGEMENT: >STATE:1692772971,RECONNECTING,tls-error,,,,,
2023-08-23 08:42:51.630606 MANAGEMENT: CMD 'hold release'
2023-08-23 08:42:51.630675 MANAGEMENT: CMD 'hold release'
2023-08-23 08:42:51.630795 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2023-08-23 08:42:51.630887 Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2023-08-23 08:42:51.630915 Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication

[newsense]

This seems to be the issue:

2023-08-23 08:41:28.521311 --cipher is not set. Previous OpenVPN version defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.

[RES217AIII]

Thanks.
I am not sure what to do now and at what side: Server or client.

Since a fundamental change is taking place and I only have a dozen clients to work on, I would like to update the configuration according to the current OpenVPN (client-side and server-side) versions. Do I need a fallback?
The connection documented in the log was made using the instructions in the official and current OPNsense documentation.

[RES217AIII]

Nach mehreren Test und Recherche komme ich zu folgen vorübergehenden Erkenntnissen:
1. Bei der Meldung

2023-08-23 08:41:28.521311 --cipher is not set. Previous OpenVPN version defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.

handelt es sich um keine Fehlermeldung im engeren Sinne.
(siehe https://hilfe.uni-paderborn.de/VPN_-_Erklaerung_zu_Meldungen_(Log))

Dafür spricht auch

2. Trage ich meine aktuelle IP in "Bind adress" bei der Serverkonfiguration ein, kommt ohne Probleme eine VPN Verbindung zustande. Die Meldung erscheint dennoch.

Das händische Eintragen der wechselnden IP Adresse kann natürlich keine Lösung sein.

Mein Problem bleibt. Wie mache ich dem VPN Server meine nicht statische IP Adresse bekannt. Warum gibt es nicht wie zuvor einen Auswahlpunkt zur WAN Schnittstelle.

Ganz konkret: Was muss ich bei "Bind adress" eintragen?

[Patrick M. Hausen]

Nichts - ganz einfach.

[RES217AIII]

Vielen Dank für die Antwort.

Aber "Nichts" funktioniert leider nicht!

[RES217AIII]

Braucht es weitere Informationen?
Welche Einstellungen können verhindern dass der Server Informationen von der WAN Schnittstelle beziehen kann?
PPPOE Telekom VLAN

Vielen Dank

[Patrick M. Hausen]

Dann versuch 0.0.0.0 oder 0.0.0.0/0, wenn frei lassen nicht funktioniert. Ich bin nach Doku gegangen bei meiner Antwort und hab es zugegebenermaßen nicht ausprobiert.

Du benutzt Port 1199? Mach doch mal mit "nichts" und mit den beiden Alternativen oben auf der Sense jeweils ein

netstat -na | grep 1199

Wenn da mit "nichts" nichts rauskommt, ist das m.E. ein Bug.

[RES217AIII]

Danke so habe ich etwas zu tun.
Bin derzeit bei der Arbeit und werde es später ausprobieren und rückmelden